Compartilhar via


Atualizar o agente do conector de dados do Microsoft Sentinel para aplicativos SAP

Este artigo mostra como atualizar um conector de dados do Microsoft Sentinel para SAP já existente para sua última versão para que você possa usar os últimos recursos e melhorias.

Durante o processo de atualização do agente do conector de dados, pode haver um breve tempo de inatividade de aproximadamente 10 segundos. Para garantir a integridade dos dados, uma entrada de banco de dados armazenará o carimbo de data/hora do último log buscado. Após a conclusão da atualização, o processo de busca de dados será retomado a partir do último log buscado, evitando duplicados e garantindo um fluxo de dados contínuo.

As atualizações automáticas ou manuais descritas neste artigo são relevantes apenas para o agente do conector SAP, e não para aplicativos da Solução do Microsoft Sentinel para SAP. Para atualizar a solução com êxito, seu agente precisa estar atualizado. A solução é atualizada separadamente, como você faria com qualquer outra solução do Microsoft Sentinel.

O conteúdo deste artigo é relevante para suas equipes de segurança, infraestrutura e SAP BASIS.

Observação

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para a solução do SAP sem agente (versão prévia limitada).

Pré-requisitos

Antes de começar:

Configurar atualizações automáticas para o agente do conector de dados SAP (Versão Prévia)

Configurar atualizações automáticas para o agente do conector, seja para todos os contêineres existentes ou um contêiner específico.

Os comandos descritos nesta seção criam um trabalho cron que é executado diariamente, verifica se há atualizações e atualiza o agente para a última versão em GA. Contêineres executando uma versão de pré-visualização do agente mais recente que a última versão em GA não são atualizados. Os arquivos de log para atualizações automáticas estão localizados no computador coletor, em /var/log/sapcon-sentinel-register-autoupdate.log.

Depois que você configurar as atualizações automáticas para um agente uma vez, ele sempre estará configurado para atualizações automáticas.

Importante

Atualmente, a atualização automática do agente do conector de dados SAP está em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Configurar as atualizações automáticas para todos os contêineres existentes

Para ativar as atualizações automáticas para todos os contêineres existentes com um agente SAP conectado, execute o seguinte comando no computador coletor:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Se você estiver trabalhando com vários contêineres, o trabalho cron atualizará o agente em todos os contêineres que existiam no momento em que você executou o comando original. Se você adicionar contêineres após criar o trabalho cron inicial, os novos contêineres não serão atualizados automaticamente. Para atualizar esses contêineres, execute um comando extra para adicioná-los.

Configurar atualizações automáticas em um contêiner específico

Para configurar as atualizações automáticas para um contêiner ou contêineres específicos, como se você adicionou contêineres após executar o comando de automação original, execute o seguinte comando no computador coletor:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Alternativamente, no arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json, defina o auto_update parâmetro para cada um dos contêineres como true.

Desativar as atualizações automáticas

Para desativar as atualizações automáticas para um contêiner ou contêineres, abra o arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json para edição e defina o parâmetro auto_update para cada um dos contêineres como false.

Atualizar manualmente o agente conector de dados do SAP

Para atualizar manualmente o agente do conector, certifique-se de que você tenha as versões mais recentes dos scripts de implantação relevantes do repositório do Microsoft Sentinel no GitHub.

Para obter mais informações, confira Referência do arquivo de atualização do agente do conector de dados de aplicativos da Solução do Microsoft Sentinel para SAP.

No computador do agente do conector de dados, execute:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

O contêiner do Docker do conector de dados SAP do seu computador será atualizado.

Certifique-se de verificar se há outras atualizações disponíveis, como solicitações de alteração do SAP.

Atualizar seu sistema para interrupção de ataque

A interrupção automática de ataques para SAP tem suporte na plataforma de operações de segurança unificada no portal do Microsoft Defender, e exige:

  • Um espaço de trabalho integrado à plataforma de operações de segurança unificada.

  • Um agente do conector de dados SAP do Microsoft Sentinel, 90847355 de versão ou superior. Verifique a versão atual do agente e atualize-a se necessário.

  • As seguintes funções no Azure e no SAP:

    • Requisito de função do Azure: A identidade da VM do seu agente do conector de dados deve ser atribuída à função Operador do Agente de Aplicativos de Negócios Microsoft Sentinel do Azure. Verifique esta atribuição e atribua esta função manualmente se você precisar.

    • Requisito de função do SAP: A função do SAP /MSFTSEN/SENTINEL_RESPONDER deve ser aplicada ao seu sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados. Verifique essa atribuição e aplique e atribua a função se você precisar.

Os procedimentos a seguir descrevem como cumprir esses requisitos se eles ainda não forem atendidos.

Verificar a versão atual do agente do conector de dados

Para verificar a versão atual do agente, execute a seguinte consulta na página Logs do Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Verificar as funções necessárias do Azure

A interrupção de ataques para SAP requer que você conceda à identidade da VM do seu agente permissões específicas para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, usando as funções Operador do Agente de Aplicativos de Negócios Microsoft Sentinel e Leitor.

Primeiro, verifique se suas funções já estão atribuídas:

  1. Encontre sua ID do objeto da identidade da sua VM no Azure:

    1. Acesse aplicativo Enterprise>Todos os aplicativose selecione a VM ou o nome do aplicativo registrado, dependendo do tipo de identidade que você está usando para acessar o cofre de chaves.
    2. Copie o valor do campo ID do objeto para usar com o comando copiado.
  2. Execute o comando a seguir para verificar se essas funções já estão atribuídas, substituindo os valores de espaço reservado conforme necessário.

    az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
    

    A saída mostra uma lista das funções atribuídas à ID do objeto.

Atribuir as funções necessárias do Azure manualmente

Se as funções Operador Agente de Business Applications do Microsoft Sentinel e Leitor ainda não estiverem atribuídas à identidade da VM do agente, use as etapas a seguir para atribuí-las manualmente. Selecione a guia do portal do Azure ou da linha de comando, dependendo de como seu agente é implantado. Os agentes implantados a partir da linha de comando não são mostrados no portal do Azure e você deve usar a linha de comando para atribuir as funções.

Para realizar esse procedimento, você deve ser proprietário do grupo de recursos no seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel.

  1. No Microsoft Sentinel, na página Configuração > Conectores de Dados acesse o conector de dados do Microsoft Sentinel para SAP e selecione Abrir a página do conector.

  2. Na área Configuração, sob a etapa 1. Adicione um agente coletor com base em API, localize o agente que você está atualizando e selecione o botão Mostrar comandos.

  3. Copie os comandos de atribuição de função exibidos. Execute-os na VM do agente, substituindo os espaços reservados Object_ID pela ID do objeto de identidade da VM.

    Esses comandos atribuem as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor do Azure à identidade gerenciada pela sua VM, incluindo apenas o escopo dos dados do agente especificado no workspace.

Importante

Atribuir as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor através da CLI atribui as funções apenas no escopo dos dados do agente especificado no workspace. Esta é a opção mais segura e recomendada.

Se você precisar atribuir as funções por meio do portal do Azure, recomendamos atribuir as funções em um escopo menor, como apenas no espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel.

Aplicar e atribuir a função SAP SENTINEL_RESPONDER ao seu sistema SAP

Aplique a função SAP /MSFTSEN/SENTINEL_RESPONDER ao sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.

Para aplicar e atribuir a função SAP /MSFTSEN/SENTINEL_RESPONDER:

  1. Carregue definições de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.

  2. Atribua a função /MSFTSEN/SENTINEL_RESPONDER à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel. Para obter mais informações, confira Configurar seu sistema SAP para a solução do Microsoft Sentinel.

    Como alternativa, atribua manualmente as seguintes autorizações à função atual já atribuída à conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel. Essas autorizações são incluídas na função SAP /MSFTSEN/SENTINEL_RESPONDER especificamente para ações de resposta de interrupção de ataque.

    Objeto de autorização Campo Valor
    S_RFC RFC_TYPE Módulo de Função
    S_RFC RFC_NAME BAPI_USER_LOCK
    S_RFC RFC_NAME BAPI_USER_UNLOCK
    S_RFC RFC_NAME TH_DELETE_USER
    Ao contrário de seu nome, essa função não exclui usuários, mas encerra a sessão do usuário ativo.
    S_USER_GRP CLASS *
    Recomendamos substituir S_USER_GRP CLASS pelas classes relevantes em sua organização que representam usuários de diálogo.
    S_USER_GRP ACTVT 03
    S_USER_GRP ACTVT 05

Para obter mais informações, consulte Autorizações do ABAP necessárias.

Para saber mais, veja: